Consulta técnica sobre FortiEDR
Descripción
Los kits de explotación web utilizan páginas web comprometidas para redirigir el tráfico, buscar versiones vulnerables del navegador, ejecutar el código de explotación e instalar malware en la computadora de la víctima.
El kit de explotación de botellas es un kit de explotación web que funciona enviando una carga útil maliciosa a la computadora de la víctima. Este kit de explotación está dirigido únicamente a usuarios japoneses.
Solución
Echemos un vistazo a cómo FortiEDR detecta y bloquea el uso del kit de explotación de botellas.
BottleEK redirige a los usuarios a una página de destino a través del sitio web de publicidad maliciosa. luego ejecuta el código java script para verificar si el entorno del usuario es japonés, el navegador es Internet Explorer y la versión es vulnerable. FortiEDR bloquea la ejecución de ajax.min.js que ejecuta el código de script java inicial.
En el gráfico de eventos a continuación, iexplore.exe genera wscript.exe para ejecutar ajax.min.js que FortiEDR bloquea como «Ejecución de secuencia de comandos sospechosa».
Si el archivo de script java ajax.min.js no está bloqueado, entonces verifica la versión del navegador y el entorno del usuario. si hay una coincidencia, redirigirá al usuario al sitio web /file/vbs.vbs que ejecuta el código de explotación. Este sitio web también ha sido identificado como malicioso y FortiEDR ha bloqueado el contenido.
Este sitio, si no está bloqueado por FortiEDR, instala y ejecuta malware de la misma manera que lo hacen otros exploits.
La función de búsqueda de amenazas de FortiEDR v5 también se puede utilizar para detectar exploits de navegador como este. Busque el nombre del proceso de origen como iexplore.exe y el nombre del proceso de destino como wscript.exe. La siguiente consulta ayuda a identificar este exploit del navegador y también se puede programar para que se ejecute automáticamente para notificar eventos que coincidan con la consulta.
COI:
hxxp://conforyou.ml/file/ajax.min.js
hxxp://conforyou.ml/file/vbs.vbs
hxxp://conforyou.ml/file/main.js
hxxp://conforyou.ml/file/style.css
hxxp://conforyou.ml/file/file/ajax.min.js
hxxp://conforyou.ml/file/file/main.js
hxxp://conforyou.ml/file/file/1.gif
hxxp://conforyou.ml/file/conn.php
hxxp://conforyou.ml/file/file/vbs.vbs
hxxp://conforyou.ml/file/file/swf.swf
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!